Los ataques de fuerza bruta son más útiles en el escenario de “ataque fuera de línea”.
A menudo, las bases de datos de contraseñas grandes se filtran en Internet:
¿Tu contraseña de Adobe se filtró? Ahora usted y otros 150 millones pueden verificar
Sony hackeado nuevamente, 1 millón de contraseñas expuestas
Las contraseñas generalmente están encriptadas de manera irreversible en estas bases de datos, pero un “ataque de fuerza bruta” contra el texto cifrado puede revelar la contraseña.
- ¿Desde dónde puedo aprender sobre ciberseguridad?
- ¿Quiénes son los principales actores en el mercado de seguridad cibernética en términos de servicios e innovación?
- ¿Qué lenguaje de programación es necesario para aprobar el OSCP (Offensive Security Certified Professional)?
- ¿Qué antivirus gratuito te brinda una protección del 100%?
- Cuando se ofrecen funcionalidades de firma / cifrado, ¿cuáles son los casos de uso en que los usuarios desactivan la señal / cifrado cuando envían correos electrónicos?
Y las herramientas están mejorando.
El clúster de 25 GPU descifra cada contraseña estándar de Windows en <6 horas
Si puede tener en sus manos una base de datos con contraseñas cifradas, es posible que pueda resolver las contraseñas. Si la base de datos tiene sugerencias de contraseña como parte de la base de datos, puede ser aún más fácil:
xkcd: cifrado
Peor aún, la mayoría de las personas usan su dirección de correo electrónico principal como nombre de usuario. Si puede descifrar una contraseña en un servicio, puede apostar que muchos usuarios usarán la misma contraseña en múltiples servicios, y tal vez incluso su correo electrónico. Por lo tanto, obtener una contraseña puede abrir una gran cantidad de piratería.
Incluso en el caso “en línea”, las IU humanas pueden bloquear los intentos de contraseña de fuerza bruta, pero las API pueden ser más indulgentes con muchas fallas de contraseña sucesivas. Este fue el núcleo del problema cuando la cuenta de iCloud de Jennifer Lawrence fue pirateada: Informe: Apple sabía de problemas de seguridad mucho antes de la violación de iCloud
Apple ha solucionado el error desde entonces.
Lección: Use una contraseña diferente para cada sitio. Al menos asegúrese de que su cuenta de correo electrónico tenga una contraseña única.